Das neue Geld­wäsche­gesetz – Auslegungs- und Anwendungs­hinweise der BaFin im Konsultations­entwurf veröffentlicht

Seit das neue Geldwäschegesetz (GwG) im Juni 2017 in Kraft getreten ist, sieht die Praxis den bereits seit längerem angekündigten Auslegungs- und Anwendungshinweisen nach § 51 Abs. 8 GwG (AuA) in der Erwartung entgegen, dass mit den AuA einige Auslegungsunsicherheiten des GwG beseitigt werden und die geldwäscherechtlich Verpflichteten damit größere Planungssicherheit erhalten. Nachdem bereits die Länder im Februar dieses Jahres gemeinsame Merkblätter mit verschiedenen Informationen zum neuen GwG für Güterhändler, Immobilienmakler und andere Nichtfinanzunternehmen veröffentlicht haben, stellt nun die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit Schreiben vom 15. März 2018 ihren Entwurf der AuA zur Konsultation (E-AuA).

Die E-AuA richten sich an diejenigen Verpflichteten, für welche die BaFin die zuständige Aufsichtsbehörde ist, also insbesondere Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften, aber auch E-Geld-Agenten und Unternehmen, die für Kreditinstitute die für einen E-Geld-Agenten typischen Leistungen erbringen. Die finale Version der AuA soll alle früheren Äußerungen der BaFin zur Auslegung des GwG ersetzen, so dass die AuA letztlich die Aufsichtspraxis der BaFin weitgehend lückenlos – neben europäischen Positionspapieren der ESAs – zusammenfassen sollen. Dies bedeutet, dass den AuA für den Finanzsektor ganz erhebliche Bedeutung zukommen wird. Dies gilt umso mehr, als eine Aktualisierung der Auslegungshinweise der Deutschen Kreditwirtschaft (DK-Hinweise), die mit der BaFin und dem Bundesfinanzministerium zur alten Fassung des GwG abgestimmt waren, als Ergänzung zu den AuA nicht zu erwarten ist.

Bis zum 11.05.2018 können interessierte Kreise zum E-AuA Stellung nehmen. Im Folgenden soll ein Überblick zu einigen der bemerkenswerten Punkte des E-AuA gegeben werden.

Genereller Ansatz

Das neue GwG ist bekanntlich im Vergleich zu der alten Fassung des GwG umfangreicher und im Ganzen nicht unbedingt anwendungsfreundlicher geworden. Insoweit mag es nicht überraschen, dass auch der E-AuA stolze 88 Seiten umfasst. Wer allerdings hofft, dass sich der E-AuA eingehend mit der Konkretisierung der unbestimmt gebliebenen Regelungen des GwG befasst, wird enttäuscht werden. Vielmehr nimmt der E-AuA in erster Linie die umfangreichen Vorgaben des GwG auf und stellt sie in einen systematischen Zusammenhang. Insoweit ist anzuerkennen, dass der E-AuA für die Praxis eine wichtige Orientierung für die AML-Organisation darstellen wird; die Verpflichteten, die sich an die dortigen Vorgaben halten, werden die Pflichten aus dem GwG regelmäßig ordnungsgemäß abdecken. Damit ist der E-AuA ähnlich strukturiert wie die alten DK-Hinweise, die sich inhaltlich zu einem großen Teil in den E-AuA wiederfinden.

So wird beispielsweise auf die Bestimmung des wirtschaftlich Berechtigten wie in den DK-Hinweisen anhand von beispielhaften Konstellationen detailliert eingegeangen. Bei anderen Themen bleiben jedoch einige Fragen offen. So wird mit keinem Wort erwähnt, wie die Erbringer von Kontoinformations- und Zahlungsauslösedienstleitungen die Pflichten aus dem GwG zu erfüllen haben. Dies ist bedauerlich, zumal die BaFin Ende letzten Jahres zu verstehen gegeben hat, dass an einer pragmatischen Lösung für die Anbieter dieser Dienste gearbeitet werde, weil die vollumfängliche Geltung der GwG-Pflichten für nicht sachgemäß gehalten werde.

Risikomanagement

Im Hinblick auf die Vorgaben zum Risikomanagement wird nicht nur auf die Gemeinsamen Leitlinien der europäischen Aufsichtsbehörden zu Risikofaktoren (ESA-Leitlinien) verwiesen, sondern auch auf die Leitlinien der FATF zum risikobasierten Ansatz in verschiedenen Bereichen des Finanzsektors vom Oktober 2015 sowie auf das vom BCBS im letzten Jahr teilweise überarbeitete Dokument „Solides Management der Risiken im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung“. Dies unterstreicht das Bemühen, nach stärkerer Harmonisierung im AML/CTF-Bereich, dürfte allerdings in praktisch herausfordernden Fällen nur begrenzt weiterhelfen. Letzteres dürfte auch für die Ausführungen zum methodischen Vorgehen bei der Erstellung eine Risikoanalyse gelten, die zumindest für die Verpflichteten aus dem Finanzsektor nicht neu sein sollten. Gleichwohl sollten diese Hinweise Anlass geben, vorhandene Risikoanalysen auf eine umfassende Berücksichtigung der diversen Empfehlungen dazu zu prüfen. Dafür könnte die ohnehin regelmäßig jährlich vorzunehmende Aktualisierung der Risikoanalyse einen guten Anlass darstellen.

Bemerkenswert erscheint, dass die Verantwortlichkeit der Leitungsebene für das Risikomanagement offenbar sehr ernst genommen wird. Insoweit wird zunächst klargestellt, dass damit die „oberste“ Leitungsebene in Form der Geschäftsführung gemeint ist. Ein Mitglied dieser Leitungsebene müsse die Risiken und ihre Bewertungen im Zusammenhang mit Geldwäsche und Terrorismusfinanzierung in Bezug auf den Geschäftsbetrieb des Verpflichteten „genau kennen“ und die Einhaltung der AML/CTF-Richtlinien „effektiv überwachen“. Was das im Einzelnen bedeuten soll, bleibt noch im Unklaren. Jedoch ist absehbar, dass sich ein Mitglied der Geschäftsführung jedenfalls intensiver als bislang vielfach üblich mit dem Thema AML/CTF auseinandersetzen sollte und sich nicht ohne Weiteres auf die zentrale Stelle i.S.v. § 25h Abs. 7 KWG bzw. den Geldwäschebeauftragten verlassen darf.

Interne Sicherungsmaßnahmen

Im Hinblick auf die Ausführungen zum Geldwäschebeauftragten fällt auf, dass – anders als in den DK-Hinweisen – die Möglichkeit der Bestellung von Mitgliedern der Leitungsebene zum Geldwäschebeauftragten oder Stellvertretern nicht mehr am Umsatz des Unternehmens festgemacht wird, sondern vernünftigerweise an der Zahl der Mitarbeiter, was wohl schon der Praxis der vergangenen Jahre entspricht. Eine Bestellung von Mitgliedern der Leitungsebene soll hiernach nur dann in Betracht kommen, wenn ein Unternehmen weniger als zehn Mitarbeiter hat und sich für diese Tätigkeit kein geeigneter Mitarbeiter unterhalb der Leitungsebene findet.

Bei den Ausführungen zur Überprüfung der Zuverlässigkeit von Mitarbeitern nach § 6 Abs. 2 Nr. 5 GwG wird darauf hingewiesen, die entsprechende Überprüfung sei „grundsätzlich bei allen Beschäftigten“ vorzunehmen. Zwar wird nachgeschoben, dass der Verpflichtete bei der Auswahl der für die Kontrolle der Zuverlässigkeit einzusetzenden Instrumente sowie hinsichtlich der Kontrolldichte aus Verhältnismäßigkeitserwägungen und auf Grundlage des risikoorientierten Ansatzes einen Beurteilungsspielraum habe, doch wird damit eine Chance ausgelassen, Unternehmen dabei zu unterstützen, sich auf das Wesentliche bei ihren AML/CTF-Bemühungen zu fokussieren. Denn warum bspw. Reinigungskräfte auf ihre geldwäscherechtliche Zuverlässigkeit zu überprüfen sein sollen, erschließt sich nicht. Dies akzeptiert wohl dem Grunde nach auch die BaFin, wenn sie solche Mitarbeiter von der Unterrichtungspflicht nach § 6 Abs. 2 Nr. 6 GwG ausnehmen möchte.

Kundensorgfaltspflichten

Bei den Sonderregelungen zu den Kundensorgfaltspflichten wird klargestellt, dass Verpflichtete nach § 2 Abs. 1 Nr. 4 und 5 GwG, die bei der Ausgabe von E-Geld tätig sind, nur dann die Kundensorgfaltspflichten zu erfüllen haben, wenn sich ihre Vertriebsaktivitäten unmittelbar auf den Ausgabeprozess des E-Geld-Produkts beziehen. Diese Klarstellung ist zu begrüßen, weil in der Vergangenheit der ansonsten sehr weite – und mit dem ZAG kaum in Einklang zu bringende – Vertriebsbegriff der BaFin gelegentlich die Frage mit sich brachte, welche geldwäscherechtlichen Pflichten beim Vertrieb von E-Geld zu erfüllen sind.

Aufgenommen wird in dem E-AuA die Neuregelung in § 10 Abs. 3 S. 3 GwG, wonach die Erfüllung der allgemeinen Sorgfaltspflichten auch im Rahmen bereits bestehender Geschäftsbeziehungen bei entsprechendem Anlass zu erfüllen sind. Dies wird als Wiederholungspflicht interpretiert, die allerdings risikobasiert erfolgen könne. Dies dürfte in der Praxis einen beherrschbaren Mehraufwand in der Durchführung bewirken. Dies ist vermutlich auch so von der BaFin beabsichtigt, weil in diesem Kontext – insoweit zutreffend – darauf verwiesen wird, dass bei der Erstidentifizierung nach § 10 Abs. 2 S. 1 GwG eine Verringerung des Pflichtenumfangs auf Grundlage des risikobasierten Ansatzes nicht in Betracht komme.

Klargestellt wird im E-AuA, dass auch Organmitglieder, die für juristische Personen auftreten und eine Geschäftsbeziehung begründen, zu den rechtsgeschäftlichen Vertretern gehören, die ggf. zu identifizieren sind. Dagegen werden keine Vorgaben zur Prüfung der Berechtigung gemacht, die nach § 10 Abs. 1 Nr. 1 GwG erforderlich ist.

Zudem wird im Rahmen der Ausführungen zum wirtschaftlich Berechtigten klargestellt, dass von den entsprechenden Vorgaben nicht nur die börsennotierten Unternehmen selbst, sondern regelmäßig auch ihre Tochtergesellschaften ausgenommen sind, sofern das börsennotierte Unternehmen 100% der Anteile an dem Tochterunternehmen hält. Freilich lässt sich fragen, ob die Begrenzung auf 100%ige Tochtergesellschaften wirklich sachdienlich ist, oder ob nicht vielmehr die Grenze von 75% materiell betrachtet ausreicht.

Mit Blick auf die Einführung eines fiktiven wirtschaftlich Berechtigten weist die BaFin auf ihre Erwartung hin, dass der oder die fiktiven wirtschaftlich Berechtigten im Rahmen der Erfüllung der Aktualisierungspflicht nach § 10 Abs. 1 Nr. 5 GwG erfasst werden.

Ohnehin bringt der E-AuA zum Ausdruck, dass den Aktualisierungspflichten größeres Gewicht beigemessen wird. So wird wiederum unter Berufung auf § 10 Abs. 1 Nr. 5 GwG verlangt, dass in angemessenen zeitlichen Abständen durch risikoorientierte Verfahren überprüft wird, ob zwischenzeitlich ein Vertragspartner oder dessen wirtschaftlich Berechtigter den PeP-Status erlangt hat. Bei Vertragsbeziehungen, die intern als mit einem hohen Risiko versehen eingestuft wurden, soll diese Überprüfung mindestens alle zwei Jahre erfolgen. Darüber hinaus befasst sich ein gesamter Unterabschnitt (5.5.2.) mit der Pflicht zur Aktualisierung von Kundenangaben im Rahmen der kontinuierlichen Überwachung der Kundenbeziehung.

Aufhorchen lässt die Feststellung, die Anwendung vereinfachter Kundensorgfaltspflichten komme nicht in Betracht, soweit risikoerhöhende Faktoren vorlägen. Wenn dies heißen soll, dass bereits dann vereinfachte Sorgfaltspflichten ausscheiden, sobald nur einer der in Anlage 2 zum GwG aufgeführten risikoerhöhenden Faktoren vorliege, wäre dies ein missliches und mit einem risikobasierten Ansatz kaum in Einklang zu bringendes Ergebnis. Schließlich mag es durchaus sein, dass ein solcher Faktor durch mehrere andere gewichtige risikomindernde Faktoren mehr als kompensiert wird. Es wäre daher zu wünschen, dass für die finale Fassung der AuA diese Aussage noch einmal überdacht wird.

Hilfreich für die praktische Anwendung dürften allerdings die Ausführungen zu den vereinfachten Sorgfaltspflichten insoweit sein, als Verpflichtete bei den Konstellationen, die in der alten Fassung des GwG gesetzlich als Fallgruppen für vereinfachte Sorgfaltspflichten galten, von Sachverhalten mit geringem Risiko ausgehen dürfen (6.2.). Ferner sind auch die Ausführungen zum Umfang der Sorgfaltspflichten bei Anwendbarkeit vereinfachter Kundensorgfaltspflichten zu begrüßen (6.3.).

Pflichtenwahrnehmung durch Dritte

Die Ausführungen der BaFin zu § 17 GwG sind in zweierlei Hinsicht erwähnenswert. Zum einen wird ein verstärktes Monitoring verlangt, wenn im Ausland ein Dritter zur Erfüllung kundenbezogener Sorgfaltspflichten herangezogen wird und die entsprechenden Anforderungen im Ausland geringer sind als in Deutschland. Dies soll ohnehin nicht möglich sein, wenn es um die Erfüllung von in Deutschland ansässigen Kunden gehe. Zum anderen wird – soweit ersichtlich – erstmals detailliert zu der Konstellation Stellung genommen, dass ein Verpflichteter in entsprechender Anwendung von § 11 Abs. 3 GwG einem anderen Verpflichteten einen Identifizierungsdatensatz weitergibt, den der erste Verpflichtete bereits aus einer Identifizierung zu eigenen Zwecken in seinen Akten führt. Interessanterweise werden zwar zahlreiche Voraussetzungen für diese Weitergabe aufgestellt, jedoch auf den Aspekt des Datenschutzes des Kunden nicht eingegangen.

Verdachtsmeldung

Wenig überraschend ist die Positionierung der BaFin zu den Anforderungen an eine Verdachtsmitteilung gemäß § 43 GwG, wenn ausgeführt wird, eine Absenkung der Meldeschwelle sei mit der Neufassung des Tatbestandes nicht beabsichtigt gewesen. Es bleibt damit bei der Herausforderung für die Verpflichteten, bei notwendigerweise unvollständigen Sachverhaltskenntnissen zu entscheiden, ob eine Verdachtsmitteilung erforderlich ist. Wenn die BaFin meint, „im Zweifel“ sei eine Meldung nach § 43 GwG zu erstatten, dann mag das für einige Verpflichtete zwar in der konkreten Situation eine Entscheidungshilfe sein. Jedoch ist nicht zu verkennen, dass mit einem solchen Ansatz das Kundenverhältnis stark belastet werden kann, zumal der Kunde über eine spätere Akteneinsicht erfahren wird, wem er etwaige Ermittlungsmaßnahmen, die im weiteren Verlauf eingestellt werden, zu „verdanken“ hat.

Fazit

Der E-AuA bietet im Ganzen ein gemischtes Bild. Er gewährleistet in verschiedener Hinsicht Kontinuität zu der bisherigen Verwaltungspraxis und den DK-Hinweisen. Dies ist in Zeiten des permanenten regulatorischen Wandels ein Ergebnis, dessen Wert nicht zu unterschätzen ist. Allerdings ist mit dem E-AuA auch kein großer Wurf in dem Sinne verbunden, dass für die Verpflichteten die Anwendung des risikobasierten Ansatzes nun wesentlich klarer wäre. Aber diese Erwartung können die AuA wohl auch nicht vollständig erfüllen. Vielmehr ist es dem risikobasierten Ansatz immanent, dass die Verpflichteten ihre jeweiligen Besonderheiten bzw. dem Einzelfall bei der Anwendung des GwG Rechnung tragen müssen. Daher sollten die Verpflichteten der Finanzbranche nicht länger auf weitere Konkretisierungen hoffen, sondern die bestehenden Prozesse überarbeiten und mit den Erwartungen der Aufsicht in Einklang bringen. Davon abgesehen ist zu wünschen, dass die BaFin die ein oder andere Passage des E-AuA noch einmal überdenkt. Es ist indes nicht zu erwarten, dass sich noch vieles ändern wird, da der E-AuA konzeptionell doch recht eng am GwG orientiert ist.

Vgl. auch die Beiträge von Dr. Jens H. Kunz und Dr. Martin Schorn